O que médicos devem fazer para se adequar à Lei Geral de Proteção de Dados Pessoais, ou LGPD

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), ou LGPD, entrou em vigor em 16 de agosto de 2020, e é considerada por especialistas um grande avanço no tratamento de dados pessoais no Brasil, um tema cada vez mais crítico diante da crescente digitalização
lock as symbol for Privacy and General Data Protection Regulation on a notebook computer

A norma contempla as informações que permitem a identificação de pessoas, e busca garantir a privacidade e segurança de dados – como RG, CPF, data de nascimento, raça, gênero, entre outros – contra uso indevido, como comercialização e vazamentos. 

Para médicos, a LGPD torna ainda mais importante o cuidado com informações de pacientes e com o sigilo. “Dados de saúde, assim como dados de gênero e raça, são considerados sensíveis, então eles demandam maior proteção”, afirma o sócio do escritório Lee, Brock, Camargo Advogados (LBCA), coautor da obra “ Lei Geral de Proteção de Dados – Ensaios e Controvérsias da Lei 13.709/18” e  especialista em Direito de Internet pela FGV,  Paulo Vinícius de Carvalho Soares. 

“Quando a gente fala em hospital, clínica, consultório médico, esses ambientes têm que ter uma proteção de dados muito maior, não só de segurança para evitar hacker, mas mesmo por compartilhamento, como mandar um exame por Whatsapp”, diz o advogado. 

Diante disso, segundo Soares, os consultórios terão que ter uma consciência muito maior sobre o uso dessas informações porque eles podem ser punidos por acesso indevido, desde sanção e advertência até multa, que alcança um teto de R$ 50 milhões, fora ações individuais movidas pelos próprios pacientes. A aplicação de multas começará a valer a partir de setembro deste ano.

As principais exigências

Os principais pontos da legislação segundo o Conselho Regional de Medicina do Distrito Federal (CRM-DF) são  explicar ao  paciente o motivo da obtenção de determinadas informações e o que será feito com elas. Um manual elaborado pelo Sebrae esclarece as exigências da LGPD, que valem também para médicos:

  • A coleta de dados pessoais precisa vir acompanhada da finalidade de uso e de indicação, autorizada pelo cliente. O termo de consentimento deve ficar armazenado para eventuais futuras consultas;
  • Formulários físicos ou digitais com dados de clientes, funcionários e quaisquer outros públicos devem estar armazenados de forma segura;
  • Dados pessoais sensíveis têm tratamento diferenciado. É o caso de dados relacionados à saúde;
  • A empresa que obteve o consentimento do cliente e necessitar comunicar ou compartilhar dados pessoais com outras instituições deverá obter autorização específica do titular para este fim, com ressalvas para as hipóteses de dispensa das permissões previstas na lei.

Termo de consentimento e contratos

A nova lei demanda que empresas e profissionais utilizem-se de uma base legal para o tratamento dos dados de pacientes, sendo a mais comum o termo de consentimento. O termo de consentimento deve conter quais dados serão usados, para cada conjunto de dados a sua finalidade e consentimento para cada finalidade. 

Os pacientes também passam a ter direito de solicitar, corrigir, exportar e pedir a exclusão de seus dados.

É comum que as clínicas médicas enviem os dados dos pacientes para hospitais em casos de internação, assim como a troca de informações entre laboratórios e hospitais ou clínicas. Isso continua sendo permitido, porém somente com consentimento do paciente. “Isso vale também para clínicas de diagnóstico médico, além de assinar o boleto do convênio, a gente assina um termo de consentimento, que já é comum em São Paulo”, explica Soares. 

Segundo o advogado, os contratos médicos – comuns em casos de cirurgias particulares, por exemplo –  passam a ter que apresentar um capítulo específico sobre a LGPD, além do termo de consentimento, que deve vir separado do contrato.   

“O médico não pode compartilhar exame, foto, sem o consentimento do cliente. Se ele informar para o cliente que esses dados serão compartilhados com a equipe médica, não tem problema. A questão é quando ele não faz isso e não informa o paciente. É um direito saber com quem os dados são compartilhados”, diz o especialista.

Mas, para a área médica, nem tudo vai demandar o termo de consentimento. Se o contrato do convênio já foi adaptado à LGPD, o consentimento já deve estar previsto. 

Como se adequar

Para se adequar à LGPD, Soares recomenda que os consultórios elaborem um relatório de mapeamento de dados pessoais. A partir disso, é feita uma análise de risco dos comportamentos e tratamentos de dados. Com a análise feita, passa-se às adaptações necessárias.

“Isso demanda um custo, é inegável, mas gera uma vantagem competitiva, a pessoa vai querer estar num consultório que está preocupado com tudo isso”, afirma o especialista. O ideal, diz,  é que clínicas e hospitais tenham um Data Protection Officer (DPO), ou seja, alguém responsável pela área de proteção de dados. 

“Mais de 90% das clínicas e consultórios não estão com isso (a LGPD) na pauta, apesar de a LGPD estar em vigor. Os grandes players, que têm capital estrangeiro, já estão adaptados. Mas quando a gente vai para médias e pequenas empresas, isso demanda muita atenção”. 

Cuidado com a telemedicina 

Ainda no âmbito da segurança de dados e adequação à lei, o CRM-DF alerta que ferramentas de prescrição eletrônica comerciais nem sempre mantêm a segurança ideal para os dados. 

A recomendação do Conselho é usar a plataforma desenvolvida pelo Conselho Federal de Medicina (CFM) em parceria com o Instituto Nacional de Tecnologia da Informação (ITI), que é gratuita: prescricaoeletronica.cfm.org.br

Compartilhar no facebook
Facebook
Compartilhar no whatsapp
WhatsApp
Compartilhar no email
Email
Compartilhar no print
Print

Conteúdos relacionados

Sobre

EVOLUA DOUTOR é uma empresa de soluções digitais para profissionais de saúde, criada em 2018, que faz parte do Grupo Evolua Online, juntamente com o portal de notícias Evolua Saúde

CNPJ: 30.724.537/0001-65

Contato